工業功能安全電源設計——第1部分:IEC 61508標準解讀

作者:ADI 資深產品應用工程師 Bryan Angelo Borres 及產品應用經理 Noel Tenorio


摘要

電源單元是電子系統中最為關鍵的元件之一,電源的運行狀況會影響整個系統的功能。在IEC 61508所定義的工業功能安全範疇內,電源是電氣/電子/可編程電子(E/E/PE)安全相關系統(SRS)及其他子系統的組成要素和輔助服務單元。有鑑於IEC 61508對功能安全(FS)合規性的三項關鍵要求和所推薦的診斷措施,開發符合工業功能安全要求的電源可能會頗具挑戰性。因此,本系列文章的第一部分將探討基本功能安全標準中關於電源的相關規定。

引言

本系列文章以工業功能安全背景下的電源設計為主題,第一部分將重點闡述電氣/電子/可編程電子(E/E/PE)安全相關系統(SRS)對電源的安全要求,具體將透過展示基本功能安全標準對電源的要求來加以說明。

E/E/PE安全相關系統中的電源

IEC 61508-4將E/E/PE系統定義為基於一個或多個E/E/PE裝置並產生控制、保護或監測作用的系統。E/E/PE裝置的範圍包括系統中的所有組成要素,如電源、感測器(及其他輸入裝置)、資料高速傳輸路徑(及其他通訊路徑)、執行器(及其他輸出裝置)。同時,根據定義,安全相關系統是指一種指定系統,其既要實現使受控設備(EUC)達到或維持安全狀態所需的安全功能,又要透過自身或與其他E/E/PE SRS及風險降低措施配合,實現必要的安全完整性來達成所需的安全功能。如圖1所示,除了執行特定安全功能所需的硬體和軟體外,電源也是E/E/PE SRS的輔助服務單元之一。

Figure 1. E/E/PE system—structure and terminology.
圖1.E/E/PE系統——結構和術語。

電源和共因失效

基本功能安全標準將共因失效(CCF)定義為一個或多個事件引起的失效引發多通道系統中兩個或更多獨立通道同時失效,進而導致系統失效。一個典型例子是電源失效,其可能會導致SRS發生多種危險失效。如圖2所示,假設24V輸入對12VCC和5VCC輸出短路,24V電源的失效將導致後續電路出現危險失效。

Figure 2. Example of a power supply CCF scenario.
圖2.電源共因失效(CCF)場景示例。

在滿足功能安全要求時,考慮CCF非常重要,因為其會影響對IEC 61508三項關鍵要求的合規性,即系統安全完整性、硬體安全完整性和架構約束。IEC 61508標準中對於某些情況下的CCF和電源要求如下:

  • IEC 61508-1第7.6.2.7節要求,在分配整體安全要求時,要考慮發生CCF的可能性。該部分還要求在分配安全要求時被視為獨立的EUC控制系統、E/E/PE SRS及其他風險降低措施,不應共用可能因失效而導致所有系統出現危險失效模式的公共電源。
  • 同樣在合成相關元件以實現所需系統能力(SC)時,IEC 61508-2第7.4.3.4節註釋1指出,為了實現足夠的獨立性,一種可行方法是確保不存在會導致所有系統出現危險失效模式的公共電源失效。
  • 對於具有晶片內冗餘的積體電路,IEC 61508-2附錄E也提出了多項規範性要求,比如對輸入和輸出(如電源等)進行隔離、採取措施避免由電源故障引起的危險失效等。

雖然以上條款禁止共用可能因失效而導致所有系統出現危險失效模式的公共電源,但在設計系統時遵循此一規定會增大佔用空間,導致電路板尺寸變大且成本上升。要想繼續使用公共電源,一種方法是進行充足的電源監控措施。透過這種方式,根據安全要求,電源為E/E/PE SRS帶來的危險失效即使不能完全消除,也能降低到可接受的水準。關於有效的電源監控如何解決共因失效問題的更多討論,請參閱文章「電源的功能安全」。

電源失效和診斷

由於需要檢測電源中的失效情況,基本功能安全標準規定了針對系統性和隨機性硬體失效的檢測要求和建議。

在控制系統性故障的要求方面,IEC 61508-2第7.4.7.1節要求E/E/PE SRS的設計應能耐受包括電磁干擾在內的環境應力。IEC 61508-2表A.16中引用了該條款,將針對電源缺陷(如電壓擊穿、電壓變化、過壓(OV)、低電壓及其他現象)的一些措施描述為強制性措施,任何SIL等級都要遵守此項要求。具體參見表1。

表1.IEC 61508-2表A.16中關於電源監控的要求
技術/措施 SIL 1 SIL 2 SIL 3 SIL 4
針對可能導致危險失效的現象(如電壓擊穿、電壓變化、過壓、低電壓、交流電源頻率變化等)所採取的措施 M
 M
 M
 M

在IEC 61508-2表A.1的分立硬體元件項下,展示了在量化隨機性硬體失效的影響時,可假定電源可能出現的故障和失效情況。具體參見表2。同時,IEC 61508-2 表A.9展示了針對電源推薦的診斷措施及相應的最大可聲明診斷覆蓋率。表3顯示了更多來自IEC 61508-7第A.8節的細節。

在進行安全分析時,表2和表3都非常有用,因為每個元件的失效模式以所採用診斷技術的診斷覆蓋率都是計算λ值(即SIL指標:危險失效概率和安全失效比率(SFF))的輸入參數。

表2.根據IEC 61508-2表A.1假定的電源故障和失效情況
組件
(60%)
(90%)
(99%)
電源 固定故障 直流故障模型

漂移和振盪		 直流故障模型

漂移和振盪

表3.針對電源推薦的診斷措施
診斷措施 目標 說明 經考量認為能夠實現的最大診斷覆蓋率
具有安全關斷功能的過壓保護 保護SRS免受過壓影響。 儘早檢測到過壓,以便透過斷電程式將所有輸出切換到安全狀態,或者切換到輔助電源單元。 低(60%)
電壓控制(次級) 監測次級電壓,若電壓不在規定範圍內則啟動安全狀態。 監測次級電壓,若不在規定範圍內則啟動斷電程式,或者切換到輔助電源單元。 高(99%)
具有安全關斷功能的斷電機制 切斷電源並儲存所有安全關鍵資訊。 儘早檢測到過壓或欠壓(UV),以便在必要時將內部狀態保存到非揮發性記憶體中,並透過斷電程式將所有輸出設定為安全狀態,或者切換到輔助電源單元。 高(99%)

圖3a展示了一個電壓控制診斷措施的示例。在此示例中,邏輯控制器子系統的電源(通常為後置穩壓器或LDO形式)由MAX16126進行監測。如果電源監控器檢測到任何超出範圍的電壓(無論是過壓還是欠壓),將導致由微控制器和其他邏輯裝置組成的邏輯控制器子系統與電源斷開連接,同時MAX16126 的FLAG接腳會被置位。透過此種方式,邏輯控制器子系統可以切換到安全狀態。同樣,如果不進行欠壓檢測,此種電路也可用於具有安全關斷功能的過壓保護診斷措施。

另一方面,圖3b展示了一個具有安全關斷功能的斷電診斷措施的示例。在此示例中,LTC3351的熱插拔控制器將電源連接到邏輯控制器子系統,而其同步開關控制器以降壓模式運行,為一組超級電容器充電。如果電源電壓超出過壓或欠壓閾值,LTC3551將使邏輯控制器子系統與電源斷開連接,同步控制器將以升壓轉換器的模式反向運行,從超級電容器組向邏輯控制器子系統供電。這將為邏輯控制器子系統提供足夠的時間,將內部狀態保存到非揮發性記憶體中,並透過斷電程式將所有輸出設定為安全狀態。

Figure 3. Illustration of recommended diagnostic measures for a power supply.
圖3.針對電源推薦的診斷措施的圖示說明。

電源的運行

除了CCF、電源失效以及推薦的診斷措施外,IEC 61508還強調了電源在E/E/PE SRS中正常運行的重要性。此一點在標準的第六部分附錄B.3中有所體現,其中討論了在假設失效率恆定的情況下,如何使用可靠性方框圖方法評估硬體失效概率。除了感測器、邏輯子系統和最終元件子系統的範圍外,電源的運行也被納入其中,如以下示例所示。

  • 當電源失效導致斷電斷路型E/E/PE SRS斷電並使系統斷路進入安全狀態時,電源不會影響SRS的PFDavg。
  • 如果系統是通電斷路型,或者電源存在可能導致E/E/PE SRS不安全運行的失效模式,則應在評估中考慮電源因素。

此類假設使得電源在E/E/PE SRS中的正常運行非常重要,因為這關係到電源是否會影響危險失效概率的計算,而這正是IEC 61508的關鍵要求之一。

結論

本文深入探討了基本功能安全標準對E/E/PE安全相關系統電源的規範性要求和指導性要求。首先闡述了電源在E/E/PE SRS中的作用。接著討論了禁止使用公共電源的共因失效問題,並展示了如何透過電源監控來消除CCF。此外,文中也介紹了與電源相關的系統性和隨機性硬體失效的要求,並提到了針對電源推薦的診斷措施。最後,根據電源的運行模式(斷電斷路型或通電斷路型),並深入探討了電源對於計算SRS危險失效概率的影響。

參考文獻

Foord Tony和Colin Howard,“Energise or De-Energise to Trip?" Measurement and Control, 第41卷,第9期,2008年11月。

IEC 61508 All Parts,“Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems”,國際電子電機委員會,2010年。

Meany Tom,「電源功能安全」。ADI,2019年3月。